Tinderi kontod pühiti peaaegu häkkerite kätte pärast seda, kui teadlased leidsid, et nad suutsid kasutajakontole sisse logida, kasutades ainult telefoninumbrit.
Kuigi haavatavus on nüüdseks fikseeritud, on ilmselgelt murettekitav, et vestlusajalugu ja fotod võisid olla nähtavad.
chromecast cast ekraanil pole heli
Haavatavus, mis oli seotud kahe asja seguga: Tinder ja Tinderi Facebooki kontokomplekti kasutamine, oleks võinud anda pahatahtlikele häkkeritele või hapukatele endile juurdepääsu kontodele. Kuidas see peaks toimima, on üsna lihtne: kui kasutaja otsustab rakendusse oma telefoninumbri kaudu sisse logida, suunatakse ta Facebooki kontokomplekti. Saates kasutajale kinnituskoodi, kes sisestab selle seejärel kontokomplekti veebisaidile, saab kontokomplekt autentida ja edastada juurdepääsuloa Tinderile. Seal aga tekib haavatavus.
LOE JÄRGMINE: Tinder Plus versus Tinder Gold
Vaadake seotud Facebook tunnistab oma rämpspostitekste kaheastmelise autentimise telefoninumbritele, mille põhjustas viga Tinder Gold võimaldab teil maksta selle eest, et näha, kellele te meeldite. Siin on see võrreldav Tinder Plusiga Ühendkuningriigis Tinder äriks? Ei päriselt
Ehkki Tinderi API oleks pidanud kontrollima kliendi ID-d Facebooki kontokomplekti märgis, ei olnud see nii. See tähendas, et ründajad said oma kontole sisenemiseks kasutada ühte paljudest muudest rakenduskomplekti kasutavatest rakendustest pärit märgistust.
Haavatavuse avastas AppSecure'i asutaja Anand Prakash, kes avaldas a blogipostitus üksikasjalikult oma järeldusi. Preemiaks maksis ta välja Facebooki programmilt Bug Bounty 5000 dollarit ja Tinderilt 1250 dollarit.
Ründajal on nüüd ohvri konto üle täielik kontroll - ta saab lugeda privaatvestlusi, täielikku isiklikku teavet, pühkida teisi kasutajaprofiile vasakule või paremale jne. Prakash kirjutas.
Õnneks ei tundu enne haavatavuse parandamist ühtegi kontot sisse murtud.
Pole olnud hea kuu Facebooki jaoks. See on juba olnud telefoni autentimise probleemid ja selle nädala alguses tunnistas ettevõte, et rämpspostiga saadetud SMS-teated, mida see kasutajatele saatis, olid tegelikult viga.
kuidas muuta legendide liiga jaapani keeleks